Adotando o Framework de Gerenciamento de Riscos de IA do NIST com Veeam e Securiti AI

Negócios | 11 de março de 2026 | 9 min de leitura

Adotando o NIST AI Risk Management Framework com Veeam e Securiti AI

Registre-se agora

Ali Salman

Sumário

• Por que um Framework é Importante Agora
• O que é o NIST AI Risk Management Framework?
• As Quatro Funções Centrais do NIST AI RMF
  1. Governar: Estabelecer Políticas, Funções e Responsabilidade
  2. Mapear: Identificar e Contextualizar Riscos de IA
  3. Medir: Avaliar e Quantificar Riscos de IA
  4. Gerenciar: Tratar, Responder e Recuperar
• Mapeamento do NIST AI RMF para Veeam e Securiti AI
• Abordando os Riscos da IA Generativa: NIST AI 600-1
• Adoção Empresarial: NIST AI RMF com Veeam e Securiti AI
• Considerações Finais
• Um Guia Prático Empresarial para Governar, Proteger e Recuperar IA em Escala

Por que um Framework é Importante Agora

A adoção de IA em empresas não é mais experimental. As organizações estão implementando assistentes baseados em LLM (Large Language Model) que recuperam dados de repositórios internos, resumem conteúdo sensível, criam tickets e executam ações através de integrações de ferramentas em e-mail, IT Service Management (ITSM), Identity and Access Management (IAM), cloud APIs e pipelines de DevOps. A velocidade de implantação está superando a velocidade da governança.

Em posts anteriores, abordei os 10 ataques comuns a LLMs que as empresas precisam planejar e expliquei por que os firewalls de LLM estão emergindo como uma nova camada de segurança crítica. Ambas as discussões convergem na mesma questão fundamental: Como uma empresa governa sistematicamente o risco de IA em todo o seu patrimônio de dados, e não apenas na camada do modelo?

Essa é exatamente a pergunta que o NIST AI Risk Management Framework (AI RMF 1.0) foi projetado para responder. Lançado em janeiro de 2023 pelo National Institute of Standards and Technology (NIST), com seu Perfil de IA Generativa (NIST AI 600-1) lançado em julho de 2024, este framework voluntário oferece às organizações uma abordagem estruturada e tecnologicamente agnóstica para identificar, avaliar e mitigar riscos de IA em todo o ciclo de vida. Este post detalha as quatro funções centrais do NIST AI RMF, explica o que cada uma exige de uma empresa e, em seguida, mapeia esses requisitos para capacidades concretas agora disponíveis através da plataforma unificada Veeam e Securiti AI, após a aquisição da Securiti AI pela Veeam em dezembro de 2025.

O que é o NIST AI Risk Management Framework?

O NIST AI RMF é um framework voluntário, que preserva direitos, não setorial e agnóstico a casos de uso. Ele foi projetado para ajudar organizações que projetam, desenvolvem, implantam ou usam sistemas de IA a gerenciar os muitos riscos que vêm com a IA e promover um desenvolvimento confiável e responsável. O framework trata a IA como um sistema sociotécnico: os riscos emergem não apenas de modelos e dados, mas de como as pessoas os constroem, implantam e usam.

Ele define sete características de IA confiável:

• Válido e confiável: Os sistemas funcionam como pretendido sob condições esperadas e inesperadas.
• Seguro: A IA não causa danos a pessoas, propriedades ou ao meio ambiente.
• Seguro e resiliente: Os sistemas resistem a ataques e se recuperam de interrupções.
• Responsável e transparente: As organizações podem explicar como as decisões são tomadas e quem é responsável.
• Explicável e interpretável: As saídas podem ser compreendidas pelas partes interessadas.
• Com privacidade aprimorada: Dados pessoais são coletados, usados e protegidos adequadamente.
• Justo com viés prejudicial gerenciado: Erros sistemáticos que produzem resultados inequitativos são identificados e mitigados.

Essas características são operacionalizadas através de quatro funções centrais interconectadas: Governar, Mapear, Medir e Gerenciar.

As Quatro Funções Centrais do NIST AI RMF

O AI RMF estrutura o gerenciamento de riscos em quatro funções. A função Governar se aplica em todas as etapas; Mapear, Medir e Gerenciar são aplicadas em contextos específicos de sistemas de IA.

1. Governar: Estabelecer Políticas, Funções e Responsabilidade

A função Governar é a base. Ela garante que o gerenciamento de riscos de IA esteja incorporado na cultura organizacional, políticas e estruturas de supervisão. Ela pergunta: Quem é responsável pelo risco de IA? Quais requisitos legais e regulatórios se aplicam? As políticas de uso de IA estão definidas e são aplicadas?

O que Governar exige das empresas:

• Definir a tolerância a riscos de IA da organização e políticas de uso aceitável.
• Atribuir funções e responsabilidades claras para a governança de IA, incluindo caminhos de escalonamento para incidentes de IA.
• Alinhar a governança de IA com os frameworks existentes de Enterprise Risk Management (ERM).
• Manter documentação dos componentes de IA, fontes de dados e processos de decisão.
• Estabelecer monitoramento contínuo e revisão periódica da eficácia do gerenciamento de riscos de IA.

Como Veeam e Securiti AI suportam a função Governar: O Data Command Center da Securiti AI fornece um knowledge graph unificado e em tempo real para dados estruturados e não estruturados, primários e secundários. Isso oferece às equipes de governança um único painel para entender onde os dados relevantes para IA residem, quem tem acesso e quais políticas se aplicam. Combinado com os controles de backup e recuperação auditáveis da Veeam, as organizações podem manter a proveniência e o rastreamento de mudanças em todo o seu patrimônio de dados, satisfazendo os requisitos de documentação e responsabilidade.

2. Mapear: Identificar e Contextualizar Riscos de IA

A função Mapear pede às organizações que identifiquem o contexto em que sua IA opera: Quais dados ela usa? Quais são os impactos pretendidos e não pretendidos? Quem são as partes interessadas? Quais são as restrições legais?

O que Mapear exige das empresas:

• Inventariar todos os sistemas de IA, incluindo modelos, fontes de dados, ferramentas, conectores e pipelines de recuperação.
• Identificar e classificar dados sensíveis antes de conectá-los a workloads de IA.
• Documentar a probabilidade e magnitude dos impactos potenciais em todos os grupos de partes interessadas.
• Mapear riscos específicos de IA, como prompt injection, data poisoning, alucinações e comprometimento da cadeia de suprimentos.
• Avaliar riscos únicos da IA generativa, conforme descrito no NIST AI 600-1, incluindo confabulação, vazamento de privacidade de dados e ameaças à integridade da informação.

Como Veeam e Securiti AI suportam a função Mapear: As capacidades de Data Security Posture Management (DSPM) da Securiti AI fornecem descoberta e classificação automatizadas de dados sensíveis em ambientes cloud, on-premises, SaaS e híbridos. Antes que a IA toque em qualquer dado, as organizações podem identificar informações de identificação pessoal (PII)/informações de saúde protegidas/setor de cartões de pagamento (PCI), segredos e dados regulamentados, e definir categorias permitidas versus bloqueadas para IA. O motor de governança de acesso e direitos da Securiti AI, então, impõe permissões de recuperação baseadas na identidade e nos direitos em nível de documento, e não simplesmente com base em quem fez a pergunta ao bot. No lado da resiliência, a Veeam mantém um inventário abrangente de pontos de backup e recuperação para cada sistema no pipeline de IA, incluindo dados de origem, configurações, templates de prompt, índices e bancos de dados de vetores, garantindo que as organizações possam documentar e reverter sua cadeia completa de componentes de IA.

3. Medir: Avaliar e Quantificar Riscos de IA

A função Medir exige que as organizações empreguem uma combinação de técnicas de avaliação para avaliar os riscos de IA: testes, avaliação, validação e verificação (TEVV), incluindo red-teaming, avaliação de viés e testes de segurança.

O que Medir exige das empresas:

• Realizar testes pré-implantação para alucinações, viés, vazamento de dados e robustez adversarial.
• Avaliar a imparcialidade e o viés nas saídas de IA.
• Testar a resiliência a prompt injection (direta e indireta).
• Avaliar impactos ambientais e consumo de recursos.
• Implementar programas estruturados de red-teaming para sistemas de IA generativa.

Como Veeam e Securiti AI suportam a função Medir: As capacidades de AI Trust da Securiti AI incluem guardrails de tempo de execução que funcionam como um firewall de LLM, um conceito que explorei em meu post anterior sobre por que os firewalls tradicionais não são suficientes para a segurança de LLM. Esses guardrails permitem que as organizações detectem padrões de prompt injection, escaneiem dados sensíveis em prompts e respostas, imponham limites de tópicos e políticas, e monitorem comportamentos anômalos de chamadas de ferramentas. As capacidades de detecção de ameaças e monitoramento de anomalias da Veeam complementam isso, identificando mudanças de integridade em dados de backup, detectando anomalias de criptografia que podem indicar ransomware ou adulteração de dados, e garantindo que os sistemas e dados dos quais sua IA depende não foram comprometidos. Juntos, eles fornecem uma camada de medição que abrange sinais de risco específicos de IA e em nível de infraestrutura.

4. Gerenciar: Tratar, Responder e Recuperar

A função Gerenciar é onde o tratamento de riscos, a resposta a incidentes e o planejamento de recuperação se unem. É também onde a lacuna na maioria dos programas de IA se torna mais visível: as equipes se concentram na prevenção, mas investem pouco em resposta e recuperação.

O que Gerenciar exige das empresas:

• Priorizar riscos e definir estratégias de tratamento (mitigar, transferir, aceitar ou evitar).
• Desenvolver playbooks de resposta a incidentes específicos de IA, incluindo kill switches para desabilitar ferramentas, bloquear fontes, pausar a ingestão e isolar agentes.
• Planejar o rollback e a recuperação limpa de sistemas de IA, dados, pipelines, modelos e agentes.
• Estabelecer monitoramento pós-implantação, mecanismos de apelação e anulação, e procedimentos de desativação.
• Gerenciar riscos de IA de terceiros e da cadeia de suprimentos com supervisão contínua.

Como Veeam e Securiti AI suportam a função Gerenciar: Esta é a força central da Veeam, agora superpotencializada com a camada de governança da Securiti AI. A Veeam fornece backups imutáveis, restauração validada em cleanroom (recuperação até cinco vezes mais rápida) e rollback granular para datasets, embeddings, pesos de modelo e configurações de pipeline. Quando um corpus de Retrieval-Augmented Generation (RAG) é envenenado, um vector store é comprometido, ou um agente executa ações não autorizadas, a organização pode reverter para uma linha de base conhecida e boa com confiança. O motor de governança e conformidade contínua da Securiti AI fornece aplicação em tempo de execução ciente da identidade e segurança Zero-Trust em produção e backups. Juntos, a plataforma unificada entrega o que descrevi em meu post anterior como a abordagem empresarial: Governar o que a IA pode acessar e recuperar o que ela quebra.

Mapeamento do NIST AI RMF para Veeam e Securiti AI

A tabela a seguir mapeia cada função do NIST AI RMF para as capacidades combinadas da plataforma:

Abordando os Riscos da IA Generativa: NIST AI 600-1

O Perfil de IA Generativa do NIST (AI 600-1) complementa o framework base com riscos que são novos ou exacerbados pela IA generativa. Isso inclui confabulação (alucinações), vazamento de privacidade de dados, ameaças à integridade da informação, riscos de informações químicas, biológicas, radiológicas e nucleares (CBRN), preocupações com propriedade intelectual, geração de conteúdo prejudicial e vulnerabilidades na cadeia de valor.

As quatro considerações primárias do perfil se alinham diretamente com as capacidades que meus posts anteriores exploraram:

• Governança de GenAI: Manter políticas de uso aceitável e atualizá-las à medida que os riscos de IA evoluem. O motor de políticas da Securiti AI automatiza a aplicação da governança em acesso a dados e interações de IA.
• Testes pré-implantação: Conduzir processos robustos de TEVV antes da implantação. As capacidades de firewall de LLM fornecem detecção em tempo real de ataques de injeção, tentativas de vazamento de dados e violações de políticas.
• Proveniência do conteúdo: Rastrear e verificar a origem e a integridade do conteúdo gerado por IA. Os controles de proveniência da Veeam e as cadeias de backup imutáveis fornecem auditabilidade em todo o ciclo de vida dos dados.
• Divulgação de incidentes: Estabelecer processos transparentes para relatar incidentes de IA. O registro centralizado de decisões de política, chamadas de ferramentas e atividades de recuperação da plataforma combinada fornece a trilha de auditoria necessária para a divulgação.

Adoção Empresarial: NIST AI RMF com Veeam e Securiti AI

Use isto como um ponto de partida prático para alinhar seu programa de IA com os requisitos do NIST AI RMF:

• Estabeleça a propriedade da governança de IA: Atribua funções claras ao seu Chief Information Officer, General Counsel, Head of Risk e Chief Data Officer. Use o Data Command Center da Securiti AI como o único painel para toda a governança de dados de IA.
• Descubra e classifique todos os dados antes que a IA os toque: Implante o Securiti AI DSPM para identificar PII/PHI/PCI, segredos e dados regulamentados em todo o seu patrimônio. Defina categorias permitidas e bloqueadas para IA.
• Inventarie cada componente de IA de ponta a ponta: Documente todos os modelos, prompts, workflows de agentes, ferramentas, conectores, fontes de dados e bancos de dados de vetores. Garanta que a Veeam proteja cada componente com backups imutáveis.
• Aplique recuperação e ações com privilégio mínimo: Use os direitos baseados em identidade da Securiti AI para garantir que a recuperação respeite as permissões em nível de documento. Delimite as permissões de ferramentas com credenciais de curta duração e allowlists.
• Implante controles de firewall de LLM: Implemente os guardrails de tempo de execução da Securiti AI para detectar prompt injection, escanear vazamento de dados em prompts e respostas, e impor limites de tópicos e políticas.
• Fortaleça a infraestrutura de RAG e vector store: Proteja os vector stores como bancos de dados de produção. Imponha isolamento de tenant, criptografia e auditoria. Mantenha versões de backup da Veeam de índices de vetor e configurações de ingestão.
• Crie playbooks de resposta a incidentes específicos de IA: Defina kill switches para desabilitar ferramentas, bloquear fontes, pausar a ingestão e isolar agentes. Inclua procedimentos de rotação de chaves para cada conector que a IA pode acessar.
• Planeje o rollback e a recuperação limpa: Use a restauração validada em cleanroom e o rollback granular da Veeam para recuperar dados, pipelines, embeddings, pesos de modelo e configurações de agentes para linhas de base conhecidas e boas.
• Registre, monitore e alerte sobre sinais específicos de IA: Centralize o registro de prompts (redigidos), acertos de recuperação, chamadas de ferramentas e decisões de política. Detecte anomalias como padrões de injeção, picos de chamadas de ferramentas e volume de recuperação incomum.
• Conduza red-teaming e revisão contínuos: Agende ciclos regulares de TEVV. Revise e atualize as políticas de uso aceitável à medida que as capacidades e ameaças da IA evoluem. Vincule os resultados de volta à função Governar para melhoria contínua.

Considerações Finais

O NIST AI RMF não é uma regulamentação, mas está rapidamente se tornando o benchmark que as regulamentações referenciam. Para empresas que implantam IA generativa em escala, a questão não é se devem adotar um framework de gerenciamento de riscos, mas quão rapidamente podem operacionalizá-lo.

O que torna a plataforma combinada Veeam e Securiti AI significativa é que ela se mapeia para cada camada do framework. Não se trata de adicionar mais uma solução pontual; trata-se de ter um centro de comando unificado que pode ver todos os seus dados, aplicar políticas de segurança e privacidade na velocidade da IA e recuperar qualquer coisa quando algo dá errado.

O objetivo realista na segurança de IA não é zero incidentes. É um raio de explosão mínimo, detecção rápida, rollback rápido e recuperação limpa, e auditabilidade e prova de controle. Se você pode governar o acesso, restringir ações, verificar saídas e garantir a recuperação, você pode escalar a GenAI com segurança, sem desacelerar o negócio.

Referências e Leitura Adicional

• NIST AI 100-1: Artificial Intelligence Risk Management Framework (AI RMF 1.0), janeiro de 2023
• NIST AI 600-1: Generative Artificial Intelligence Profile, julho de 2024
• Veeam Conclui Aquisição da Securiti AI, 11 de dezembro de 2025
• Ali Salman, “Securing GenAI Beyond the Model: 10 LLM Attacks and the Case for Governance and Recovery,” Veeam Blog, fevereiro de 2026
• Ali Salman, “From Packets to Prompts: How Security is Changing with AI and Why LLM Firewalls Matter,” Veeam Blog, janeiro de 2026

Compartilhar

Ali Salman

Ali Salman é um Principal Solutions Architect com mestrado em cibersegurança e mais de 18 anos de experiência no projeto de arquiteturas seguras e escaláveis para clientes corporativos. Seu trabalho abrange a transformação de cloud e data center, backup e recuperação de SaaS para workloads de Microsoft 365 e Azure/AWS, planejamento e orquestração de disaster recovery e resiliência de plataforma Kubernetes. Especialista em virtualização e modernização de infraestrutura, de VMware e Hyper-V a Proxmox, Ali também assessora organizações em arquitetura de cibersegurança, incluindo frameworks Zero Trust, gerenciamento de identidade, segmentação e hardening de sistemas. Ele se concentra em ajudar as empresas a fortalecer o gerenciamento de ameaças e a prontidão para incidentes, implementar arquiteturas de IA seguras e alinhar a estratégia tecnológica com as metas de governança, conformidade e resiliência de negócios. Antes de ingressar na Veeam, Ali ocupou cargos técnicos e de liderança sênior em grandes organizações no Oriente Médio e Sul da Ásia, incluindo OSN (Dubai), ITCS, Inbox Business Technologies e Mobilink GSM (VEON). Nessas posições, ele liderou consultoria de infraestrutura empresarial, arquitetura de plataforma e iniciativas de segurança que apoiaram a transformação digital em larga escala e a confiabilidade operacional. Ali palestrou em fóruns líderes da indústria, incluindo o CXO Forum, o Comitê de Cibersegurança da FPCCI e a AAI, onde compartilha insights sobre padrões de design seguros, prontidão operacional e implementação no mundo real em ambientes híbridos e multi-cloud.

Website LinkedIn

Publicações Notáveis:

• Veeam SAP HANA Availability Guide v19
• Veeam SQL AlwaysOn Availability Groups in Virtual Environments
• Oracle & SAP Sizing: Veeam Plug-in for SAP and Oracle
• Pakistani Honoured with Top Cybersecurity Award
• Ali Salman Receives EC-Council University President’s Award of Honor

Trabalhos Autorais:

LLM Firewalls Um mergulho profundo em LLM Firewalls: Proteger Sistemas de IA na Era da Inteligência Generativa é um guia prático e focado na empresa para defender sistemas de IA modernos contra os riscos reais que os controles tradicionais nunca foram projetados para lidar: prompt injection, ataques indiretos através de fontes de conhecimento RAG, saídas inseguras e não confiáveis, vazamento de dados sensíveis e autonomia excessiva de agentes.

Mais sobre o autor

Post anterior

Sumário

• Por que um Framework é Importante Agora
• O que é o NIST AI Risk Management Framework?
• As Quatro Funções Centrais do NIST AI RMF
  1. Governar: Estabelecer Políticas, Funções e Responsabilidade
  2. Mapear: Identificar e Contextualizar Riscos de IA
  3. Medir: Avaliar e Quantificar Riscos de IA
  4. Gerenciar: Tratar, Responder e Recuperar
• Mapeamento do NIST AI RMF para Veeam e Securiti AI
• Abordando os Riscos da IA Generativa: NIST AI 600-1
• Adoção Empresarial: NIST AI RMF com Veeam e Securiti AI
• Considerações Finais

Tags AI Security, Cybersecurity, Data Governance, Data Protection, Enterprise Architecture, Generative AI, NIST Compliance

Posts de Blog Semelhantes

• Negócios | 5 de janeiro de 2026
  • Cibersegurança de Infraestrutura Crítica: Frameworks, Riscos e Estratégias de Resiliência
  • Leia mais
• Negócios | 24 de outubro de 2025
  • Ameaças Internas Aumentam enquanto as Taxas de Pagamento de Resgate Despencam
  • Leia mais
• Negócios | 16 de junho de 2025
  • Soluções de Backup SaaS: Proteja Microsoft 365, Entra ID e Salesforce
  • Leia mais

Mantenha-se atualizado com as últimas dicas e notícias Ao se inscrever, você concorda que suas informações pessoais sejam gerenciadas de acordo com os termos da Política de Privacidade da Veeam. Tudo pronto! Fique de olho na sua caixa de entrada para nossas atualizações semanais do blog. OK